DevOps Pokročilý
Container Registry¶
Container RegistryDockerSecurity 3 min čtení
Sprava Docker images. ECR, ACR, GCR, Harbor.
Porovnani¶
- Docker Hub - public, rate limits
- AWS ECR - nativni s ECS/EKS
- Azure ACR - nativni s AKS
- Harbor - open-source, self-hosted
Security¶
trivy image myapp:latest # scan
cosign sign --key k myapp:v1 # signing
Best practices¶
Při výběru container registry zvažte integraci s vaším cloud providerem — AWS ECR se bezproblémově integruje s ECS a EKS, Azure ACR s AKS. Pro on-premise nebo multi-cloud nasazení je Harbor nejlepší open-source volba s podporou vulnerability scanning, replikace mezi registry a RBAC.
Každý Docker image by měl projít vulnerability scanem před nasazením do produkce. Implementujte admission controller v Kubernetes (například OPA Gatekeeper), který odmítne nasazení nepodepsaných nebo neskenovaných images. Multi-stage builds v Dockerfilu zmenšují výsledný image a snižují attack surface. Nastavte garbage collection pro automatické čištění nepoužívaných vrstev a tagů.
Shrnuti¶
Cloud-nativni registry pro jednoduchost. Vzdycky skenujte zranitelnosti.
Potřebujete pomoct s implementací?¶
Náš tým má zkušenosti s návrhem a implementací moderních architektur. Rádi vám pomůžeme.